Aproximativ 60% din cele 56 de companii care au participat la sondajului Impactul noilor reguli privind protectia datelor realizat de PwC Romania au declarat ca, imediat dupa data aplicarii Regulamentului General de Protectie a Datelor (GDPR), la 25 mai, erau in plin proces de implementare a cerintelor acestuia. Raportul PwC Romania a dorit sa masoare nivelul de implementare a cerintelor GDPR la nivelul companiilor din tara.

Documentul releva faptul ca 12% dintre companiile participante la sondaj au declarat ca au finalizat procesul de implementare a cerintelor Regulamentului, pana la intrarea in vigoare a acestuia. Cele mai multe dintre acestea au un numar de pana in 200 de angajati (57%) si activeaza in domeniul farmaceutic, cel al serviciilor financiare, auto si energie.

Companiile considera ca cele mai afectate departamente de aplicarea Regulamentului sunt cele de resurse umane (25%) si de relatii cu clientii (25%). In acest clasament urmeaza departamentul IT (21%) iar pe locul al treilea se afla departamentul de vanzari (18%). Alte departamente care au mai fost mentionate, cu procente mai mici, sunt departamentul Financiar, cel de Marketing, Juridic si Risc.

In ceea ce priveste obstacolele intalnite in aplicarea cerintelor Regulamentului, datele studiului arata ca putin mai mult de jumatate dintre participanti (52%) considera ca cea mai mare dificultate in aplicarea cerintelor acestuia o constituie lipsa legislatiei specifice sau a unor norme de aplicare. Pe locul al doilea in acest top se situeaza lipsa resurselor umane (27%), urmata de lipsa resurselor financiare (8%). Alte elemente de dificultate mentionate sunt: complexitatea ridicata a proiectului, costurile mari de implementare si lipsa unei abordari unitare la nivelul actionarilor.

„Intrarea in vigoare a Regulamentului a determinat o schimbare de paradigma in ceea ce priveste gestiunea bazelor de date. Am observat faptul ca unele domenii de activitate obisnuite cu reglementari specifice securitatii informatiei (de exemplu domeniul financiar si cel al telecomunicatiilor) au parcurs mai usor procesul de evaluare a impactului GDPR si au inceput mai devreme sa implementeze cerintele acestuia. In alte industrii, lucrurile au evoluat oarecum diferit, in principal datorita specificului fiecareia dintre ele. Este deosebit de important de mentionat faptul ca procesul de conformare nu s-a incheiat odata cu intrarea in vigoare a Regulamentului. Este nevoie de o analiza corecta si completa a proceselor interne si a felului in care informatii considerate, pana nu de mult, uzuale, sunt accesate sau procesate de o companie”, declara Manuela Guia, Partener, Liderul echipei de servicii juridice de conformitate si protectie a datelor, D&B David si Baias.

Participantii la sondaj au declarat ca cele mai des intalnite masuri de implementare a Regulamentului constau in adoptarea unei strategii sau proceduri interne specifice de protectie a datelor (19%) sau revizuirea si adaptarea procedurilor interne, ca un tot unitar, in sensul respectarii cerintelor GDPR (19%). Aceste solutii sunt preferate in special de companiile din domeniul serviciilor financiare, retail si productie industriala. Alte masuri mentionate includ imbunatatirea securitatii sistemelor IT (16%), evaluarea partenerilor contractuali catre care se transfera date cu caracter personal (14%), numirea interna a unui responsabil cu protectia datelor (14%), implementarea unor tehnologii specifice (8%), implementarea unor schimbari structurale la nivelul organizatiei si numirea unui responsabil cu protectia datelor trimise in extern (5%).

Companiile chestionate au identificat mai multe arii in care au nevoie, cu prioritate, de consultarea unui specialist extern. Cea mai importanta zona este aceea de pregatire a personalului propriu, atat pentru echipa responsabila cu protectia datelor cat si pentru responsabilul cu protectia datelor (19%). Aceasta cerinta am observat-o venind cu precadere de la companiile care activeaza in sectorul serviciilor financiare si cel al productiei industriale. O alta zona in care companiile considera necesara asistenta unor specialisti externi se refera la revizuirea si adaptarea procedurilor interne (16%), acelasi procent are nevoie de servicii de consultanta privind imbunatatirea securitatii sistemelor IT utilizate.

In ceea ce priveste conformarea cu cerintele Regulamentului, 32% dintre companii declara ca folosesc sau intentioneaza sa foloseasca solutii automate pentru a cauta si identifica datele cu caracter personal in companie. Acelasi procent foloseste solutii automate pentru detectarea si monitorizarea incidentelor si a evenimentelor cu impact asupra securitatii datelor cu caracter personal. Topul tehnologiilor folosite este incheiat de solutii automate pentru detectarea si prevenirea pierderii datelor cu caracter personal (28%). Companiile care activeaza in domeniile serviciilor financiare, auto, energie si cel farmaceutic declara ca folosesc astfel de tehnologii cel mai des.

Daca ne referim la tehnologii de preventie, aproape doua treimi (61%) dintre companiile participante folosesc instrumente de protectie impotriva scurgerii de date sau de monitorizare a incidentelor de securitate, iar 21% intentioneaza implementarea acestora in viitor. Aproape doua din zece companii (18%) nu folosesc si nu intentioneaza sa utilizeze astfel de instrumente. O parte importanta (71%) foloseste instrumente care permit managementul centralizat al drepturilor de acces la bazele de date, iar 16% intentioneaza sa o faca in viitor, in timp ce 13% spun ca nu folosesc un sistem de management centralizat al drepturilor de acces.

„Analiza pe care am facut-o releva faptul ca tot mai multe companii considera importanta nu doar conformarea cu Regulamentul, ci si intarirea, cu aceasta ocazie, a protectiei propriilor date impotriva unor eventuale atacuri informatice. Numai ca existenta unei tehnologii si instalarea acesteia nu asigura intotdeauna si protectia necesara. Este nevoie de construirea unui sistem care sa integreze proceduri si tehnologii care trebuie sa lucreze impreuna pentru a face procesul de conformare eficient. Dintre toate aceste elemente cel mai important si totodata cel mai usor de fraudat este utilizatorul, resursa umana. Formarea continua, testarea si pregatirea utilizatorului pentru diverse scenarii este cel mai important aspect in cadrul unei strategii de securitate cibernetica. Chiar si cea mai avansata tehnologie de preventie este complet ineficienta atunci cand este utilizata de un factor uman neinstruit sau neinformat cu privire la potentialele atacuri cibernetice”, spune Mircea Bozga, Partener, Liderul departamentului de Risk Assurance, PwC Romania.